Le RGPD pour les nuls en 9 points

Gatien Guemas – 14/09/2021

Le RGPD ou Règlement Général sur la Protection des Données est entré dans nos vies depuis plus de 3 ans maintenant.

Le bon côté du RGPD est que la protection des données est devenue une obligation pour les entreprises et qu’on constate une tendance générale vers une plus grande transparence dans la gestion des données utilisateurs.

Le mauvais côté du RGPD, c’est qu’il est parfois difficile de s’y retrouver et de savoir ce que vous devez faire et ne pas faire.

Vous nous voyez venir ? Aujourd’hui, nous vous proposons un guide “Le RGPD pour les nuls” avec du concret et rien que du concret. On évitera les lois, les dates, les numéros d’articles et les annonces terrifiantes des entreprises qui vous vendent des certifications RGPD pour vous résumer les points importants à retenir sans bullshit.

L’objectif est de vous communiquer tous les éléments importants à respecter en moins de 10 minutes et que vous puissiez faire les changements nécessaires à la fin de ce guide.

Le RGPD : définition

Le RGPD ou Règlement Général sur la Protection des Données en français appelé GDPR ou General Data Protection Regulation en anglais est un règlement européen qui encadre les droits et obligations des entreprises concernant la collecte et le traitement des données personnelles depuis mai 2018.

Fun fact numéro 1. Il y a encore des progrès à faire puisqu’en préparant cet article nous avons observé qu’il y avait plus de 1000 recherches mensuelles pour RPGD au lieu de RGDP.

Le RGPD définit des notions clés comme : 

  • Qu’est-ce qu’une donnée personnelle ?
  • Qu’est-ce qu’un traitement de données personnelles ?
  • Qui est concerné par le RGPD ? 
  • Les choses à faire et à ne pas faire.

Comme promis, on vous évite les éléments rébarbatifs des deux premiers points en vous dirigeant vers une ressource de la CNIL qui, pour une fois, a tout donné pour pondre un document clair comme de l’eau de roche bio.

Pour le deuxième et troisième point, c’est tout de suite.

Qui est concerné par le RGPD ?

Réponse courte : tout le monde. Réponse moins courte :

Dès que vous avez une donnée personnelle en votre possession, vous êtes concerné par le RGPD.

Une donnée personnelle peut être (on vous met ça en tout petit sinon ce paragraphe sera interminable) : un nom, un prénom, un identifiant, un numéro client, un numéro de téléphone mobile, un numéro de téléphone fixe, une donnée biométrique, des éléments concernant l’identité physique d’une personne mais aussi des éléments concernant l’identité physiologique, génétique, psychique, économique, culturelle. On reprend notre souffle. Cela peut aussi être un numéro de sécurité social, de carte d’identité, de passeport, une adresse, un abonnement à un magazine, l’adhésion à une association. Cela peut encore être l’âge, la localisation, les comportements d’achats, votre sexe, les goûts et on va s’arrêter là.

Bref, everything is a donnée personnelle.

Dès que vous récoltez ou traitez une donnée personnelle d’une personne physique ou morale, vous rentrez dans le cadre du RGPD et vous devez respecter le règlement au risque de vous faire taper sur les doigts.

Que risque-t-on en cas de non-respect du RGPD ?

La CNIL nous indique que vous risquez gros en cas du non-respect du RGPD. Traduit en chiffres cela donne une amende pouvant aller jusqu’à 20 millions d’euros et jusqu’à 4% du chiffre d’affaires de votre entreprise.

Avant cela, vous passerez probablement par différentes étapes : 

  • Un rappel à l’ordre ; 
  • Une demande de mise en conformité, y compris sous astreinte ; 
  • Une limitation temporaire ou définitive du traitement des données ; 
  • La suspension des flux de données ; 
  • Une amende administrative.

Sur le papier, ça fait peur mais dans la réalité, qu’en est-il ?

Un article de l’Usine Digitale répond en partie à cette question en détaillant le montant des amendes infligées par la France et les pays de l’Union Européenne. On y apprend que la France a infligé 3 millions d’euros d’amende en 2020 dont 80% pour Carrefour France et Carrefour Banque. 80% de 3 millions… 20% de 3 millions… Si nos calculs sont bons cela signifie que seulement 600 000 euros d’amendes concernaient l’ensemble des entreprises françaises en enlevant Carrefour ce qui paraît peu.

Toutefois, si sur le plan des amendes, vous ne risquez finalement pas grand-chose (si vous ne faites pas n’importe quoi), vos utilisateurs sont sensibles à la protection de leurs données. Le plus grand risque selon nous n’est pas l’amende ni les remontrances de la CNIL (ok on fera moins les malins s’ils viennent toquer à notre porte) mais l’insatisfaction que cela engendrera auprès de vos utilisateurs.

Le RGPD pour les nuls en 9 points

On va se calmer sur les blagues dans ce guide du RGPD pour les nuls pour se concentrer sur le factuel, la raison de votre venue sur ce super article.

Avant cela, si vous voulez d’autres ressources efficaces avec quelques mauvaises blagues pour rendre plus léger ses sujets “techniques”, n’hésitez pas à vous inscrire à notre newsletter.

Point numéro 1 : respecter l’esprit du RGPD

Pour respecter et comprendre le RGPD, l’important est de comprendre l’esprit du RGPD : respectez vos utilisateurs, soyez transparents, entourez-vous de partenaires qui respectent le RGPD et sécurisez votre infrastructure pour limiter au maximum les risques concernant les données de vos utilisateurs.

On vous donnera plus d’exemples par la suite mais pour respecter le RGPD vous devez faire preuve de bon sens et d’honnêteté : 

  • N’envoyez pas d’emails non sollicités ; 
  • Ne revendez pas les données de vos utilisateurs sans qu’ils aient clairement accepté ; 
  • Expliquez clairement l’utilisation faites des données que vous récoltez ; 
  • Ne récoltez que les données nécessaires au fonctionnement de votre entreprise ; 
  • N’usez pas des dark pattern (fourberie permettant d’amener au consentement plus facilement) ;
  • Mettez les données de vos utilisateurs en sécurité.
  • Si votre entreprise appartient à un secteur très réglementé (la banque, la santé, la politique), METTEZ LES DONNÉES DE VOS UTILISATEURS EN SÉCURITÉ.
RGPD pour les nuls

Cette superbe illustration vous est offerte par la CNIL.

Point numéro 2 : organiser le traitement de la donnée

Ce point vous servira autant à respecter le RGPD qu’à répondre efficacement à vos utilisateurs dès qu’ils auront une question.

Pour bien organiser le traitement de la donnée, voici quelques conseils : 

  • Nommez un responsable de la donnée ou un DPO (délégué à la protection des données) au sein de votre entreprise. Pour une grande entreprise aux besoins complexes, ce dernier devra avoir des compétences juridiques et techniques, pour les plus petites structures, il s’agit plus d’avoir un responsable qui aura une connaissance de tous les sujets liés à la protection des données et qui pourra mettre en place les actions nécessaires si besoin.
  • Cartographiez les données que vous récoltez. Vous devez connaître précisément les données que vous avez en votre possession et sur quelle catégorie de personnes (utilisateurs, salariés, partenaires).
  • Définissez les objectifs de la collecte de données
  • Définissez la sensibilité des données collectées, certaines données comme celles de santé, informatiques ou financières sont plus sensibles que d’autres.

Vous n’organiserez pas la donnée de la même manière si vous êtes à la tête d’une banque ou d’un petit e-commerce mais nous vous conseillons de vous poser régulièrement pour faire le point sur la gestion des données de vos utilisateurs et le respect du RGPD.

Point numéro 3 : répondre à vos utilisateurs

Les internautes (oui on utilise encore ce mot-là en 2021) ont pris conscience de l’utilisation faite de leurs données personnelles. Vous êtes obligé de leur répondre sur ce sujet et d’accéder aux demandes suivantes : 

  • La suppression de toutes les données utilisateurs en votre possession ;
  • La communication de toutes les données utilisateurs en votre possession ;
  • Le non-traitement de vos données.

On en revient à notre DPO du point numéro 2. Avoir quelqu’un en interne en charge de répondre aux demandes utilisateurs qui seront plus ou moins régulières en fonction de votre secteur d’activité vous permettra de gagner du temps et de répondre plus efficacement.

Point numéro 4 : s’entourer des bons partenaires

Le RGPD, la CNIL et la police de la data ne vous obligent pas seulement à respecter le RGPD, vos partenaires doivent aussi le respecter.

Vous ne pouvez pas vous défausser sur un partenaire en cas de non-respect du RGPD. C’est en partie pour cette raison que tous les logiciels BtoB que nous analysons mettent en avant la “sûreté de leur solution”, le “respect de la protection des données utilisateurs” et du RGPD en règle générale (même si certains disent toujours RPGD au lieu d’RGPD).

Cela peut paraître anecdotique mais si un de vos partenaires ne respecte pas le RGPD, il se pourrait que la CNIL vous embête. Encore plus contraignant, il se pourrait que vous deviez changer en urgence de partenaire.

Point numéro 5 : sécuriser la donnée

Quelle que soit la donnée que vous récoltez et le traitement que vous en faites. Vous avez l’obligation de sécuriser l’endroit ou les endroits où elles sont stockées.

La sécurité peut passer par le chiffrement de la donnée, la limitation de l’accès à la donnée en interne ou des prestataires externes spécialisés mais l’objectif reste le même : les données doivent être protégées pour qu’elles ne soient pas utilisées à mauvais escient, volées ou revendues.

Point numéro 6 : obtenir le consentement éclairé

Le RGPD définit ce qu’est le consentement : il doit être libre, spécifique, éclairé et univoque. Pour une fois dans cet article, vous n’échapperez pas à quelques définitions.

  • Le consentement libre signifie que l’utilisateur ne doit pas être ni contraint ni influencé de communiquer ses données personnelles. L’utilisateur doit avoir un choix réel sans subir de conséquences négatives en cas de refus.
  • Le consentement spécifique signifie que pour chaque nouvelle demande, vous devez obtenir à nouveau le consentement. Par exemple, la communication d’un email pour une inscription ne vous empêchera pas de redemander le consentement pour l’envoi d’une newsletter même si vous avez déjà l’email de la personne.
  • Le consentement éclairé signifie que l’utilisateur doit pouvoir comprendre facilement l’utilisation qui sera faite de ses données et ce qu’implique son consentement.
  • Le consentement univoque signifie que l’utilisateur clairement indiqué qu’il est d’accord. Par exemple, la poursuite de la navigation sur un site ne signifie pas “accord”. Le consentement doit être donné par un acte positif clair.

Pour respecter le RGPD, oubliez toutes les fourberies des cases précochées, des emails envoyés sans accord ou des petits caractères cachés pour ne pas dire comment la donnée est utilisée.

Point numéro 7 : récolter uniquement la donnée utile

Cela paraît évident mais vous ne devez récolter que les données nécessaires et pertinentes à l’utilisation de votre produit ou de votre service.

Pour illustrer ce point, on remercie la CNIL qui nous offre de bons exemples : 

  • Les informations sur la situation professionnelle de l’entourage d’un candidat n’sont pas pertinent dans un fichier de recrutement ; 
  • Le numéro de sécurité social n’est pas utile pour l’inscription à l’école.

Point numéro 8 : donner le choix à vos utilisateurs concernant les cookies et les traceurs

Le RGPD connaît de nouvelles évolutions régulièrement. C’est le cas en 2021 concernant les cookies et autres traceurs.

Bandeau cookie

On continue dans notre démarche de ne pas vous em****** avec des définitions, on part du principe que vous savez ce qu’est un cookie ou un traceur. Depuis 2021, les règles ont changé. 

  • L’utilisateur doit être clairement informé de la finalité du dépôt de cookies ou traceurs ; 
  • Il doit pouvoir activer ou désactiver les différents types de cookies, il peut en accepter certains et en refuser d’autres ; 
  • Le refus doit être aussi facile que l’acceptation ;
  • L’interface d’acceptation ou de refus des cookies doit être lisible.

Fun fact numéro 2. On a un super article sur les outils de gestion du contement ou bandeaux cookie alors qu’on n’est pas (encore) tout à fait (pas du tout) en règle à ce niveau-là.

Point numéro 9 : faire une veille régulière

Le RGPD et les lois sur la protection des données évoluent régulièrement. Nul n’est censé ignorer la loi comme me disait mon professeur de droit constitutionnel à une époque et vous devrez régulièrement adapter vos pratiques aux évolutions légales.

Encore mieux, regardez régulièrement la manière dont vous pouvez améliorer la gestion de vos données utilisateurs. Par exemple, nous avons profité des vacances d’août et de votre absence pour remettre à plat cette partie chez Tool Advisor et on a quelques chantiers en attente : 

  • Définir le temps nécessaires de conservation des données des entrepreneurs que nous accompagnons dans leur choix de logiciels ; 
  • Faire un prêt bancaire ou faire péter notre PEL pour installer un outil de gestion du consentement alors que nous sommes des agneaux de la donnée ; 
  • Enrichir nos mentions légales.

Notre guide du RGPD pour les nuls touche à sa fin. Si vous pensez qu’on a oublié certains points, n’hésitez pas à nous écrire à l’adresse hello@tool-advisor.fr. Si vous pensez que notre humour mérite plus qu’une visite, n’hésitez pas à liker notre page Linkedin. C’est peut-être un détail pour vous mais pour moi ça veut dire beaucoup.

auteur-tool-advisor Gatien Guemas

Fondateur de Tool Advisor

Ses trois logiciels préférés : Notion, Calendly pour prendre des rendez-vous et l’indispensable Suite Google.

Tool Advisor Newsletter

Recevez tous les mois par email la newsletter sur les logiciels d’entreprise : nos analyses, nos conseils, les nouveautés du mois et un brin d’humour. 

S’inscrire à la newsletter